现在,几乎所有类型的组织每天都在发生企业 IT 网络遭到破坏的情况。它们是任何合规官员最担心的问题,并且找出更好的方法来防止它们或从中恢复是合规官员永远不会远离的想法。
但数据泄露的实际成本是多少?该数字从何而来?当您获得该信息时,合规官员应该如何处理该信息?
然而,了解这些平均数字对于合规官员和风险经理来说并没有多大帮助。您需要知道如何计算您自己组织的潜在成本。只有这样,当您充分了解违规行为可能如何影响您的业务时,您才能制定明智的、基于风险的合规措施来降低这些成本。
估算数据泄露成本的艺术
计算数据泄露的成本(无论是已经发生的实际泄露还是可能发生的潜在泄露)是合规部门的一项关键能力。
例如,您可能需要向投资者、监管机构或业务合作伙伴披露确切的成本(请记住,美国证券交易委员会 (SEC) 刚刚通过了新规则,要求上市公司披露有关网络安全事件的更多信息,包括成本) 。了解违规成本还可以帮助您的合规官和其他高级管理人员就网络安全投资(例如新技术或新政策和程序)做出更好的决策。
1、直接财务成本
这些是您的公司需要支付的明确、直接的成本。您会知道它们是什么,因为最终您的企业将为它们付费。它们包括以下费用:
- 通知受影响的个人并向他们提供信用监控服务
- 政府监管机构可能施加的监管罚款
- 聘请专家的调查和补救成本,以准确找出问题所在,然后支付升级软件等修复费用
- 如果您有引起媒体关注的特别公开的违规行为,则需要支付公共关系成本
2、间接成本
这些是明显存在的费用或收入损失,会损害您的业务。但是,您无法仅通过查看发票上的数字来确定其成本。例如,您可能会遇到系统停机,导致员工无法完成工作或失去客户,而您将永远无法收到这些客户的收入。
估算间接成本的最佳方法是与销售、人力资源或企业中的其他部门密切合作,对这些职能正常运营所产生的收入或成本进行建模。
例如,您可以与人力资源团队合作计算某些员工类别(工厂工人、研究人员、营销人员、销售主管等)的平均成本,以估算这些员工在勒索软件攻击期间无所事事的每小时成本。您可以与销售团队合作,估计停机期间可能损失的平均每天销售额,或者如果某些高价值客户永远离开,公司未来将损失多少收入。
3、运营成本
您还将面临运营成本,例如通过 IT 取证来确定违规行为是如何发生的;事件响应工作,可能包括通知外部各方或激活备份数据中心;IT 恢复措施,例如安装新软件或备份软件。
运营成本可能是直接成本和间接成本的混合体,具体取决于您是聘请外部团队来完成工作,还是让内部员工脱离日常职责来帮助解决违规问题。
4. 声誉成本
声誉成本是难以计算的费用,是由于公司在违规后声誉受损而产生的。例如,您可能面临更高的客户获取成本,因为持怀疑态度的销售前景需要更多证据来证明您已经改善了网络安全制度。您可能会遇到更高的客户流失率或更低的成功销售率。在最糟糕的情况下,关键业务合作伙伴可能会切断与您的组织的联系,您将不得不寻找替代者。
5. 长期成本
其中包括更高的保险费、更高的审计费、合规监察员、更大的网络安全投资以及可能持续多年的其他费用。同样,其中一些成本将是明确的,而另一些成本则隐藏在“自然”成本中,例如现在要求更多证据或测试的年度审计。
要计算数据泄露的成本,您需要对上面列出的每个元素进行彻底分析。通常,这意味着 CISO 需要与组织的财务、法律、会计、销售和人力资源团队以及可能的其他业务职能部门密切合作。
一个明智的策略是在违规发生之前制定一个流程来估算违规成本。您甚至可以进行桌面练习来演练模拟漏洞,以确定企业的哪些部分将参与清理损害。在此基础上,起草一个流程,定义谁将参与响应“典型”违规行为,包括会计代码或其他用于跟踪实际支出金额的设备。这样,当不可避免的事情最终发生时,你就会做好更好的准备。
现在您已经评估了数据泄露的成本。你用这些做什么?
假设您开发了这些关系和流程,以便可以估算数据泄露的成本。CISO 可以利用这些信息做什么?为什么了解数据泄露的成本如此重要,以至于值得您花费时间和精力来开发一个流程来做到这一点?
事实上,了解数据泄露的成本对于 CISO 来说非常有用;它可以帮助您以各种方式制定
更好的网络安全策略。例如:
1. 更好的监管合规性
在美国,上市公司现
在必须在公司遭受“重大网络安全事件”时通知投资者,而在不知道成本的情况下,你无法确定事件的重要性。此外,当您确实需要向投资者披露违规行为时,您还需要披露成本估算。
2. 更好的风险评估和缓解
当您知道某些网络事件可能比其他事件更昂贵(例如,关闭客户履行中心的勒索软件攻击,而不是客户数据被盗)时,您可以优先考虑针对那些更昂贵的威胁的保护。通过关注构成最高财务威胁的领域,您的合规计划可以更有效地分配资源以减轻这些风险。
3.更好的第三方风险管理
如今,大量数据泄露都是通过第三方供应商或您拥有的其他业务合作伙伴发生的。更好地了解违规的潜在成本可以让您更有力地要求供应商提供更好的网络安全
,或者更有理由实施严格的尽职调查和合同要求。
4.更好的数据治理
当您了解与数据泄露相关的成本时,您可以向企业其他部门强调稳健的数据治理实践的重要性,例如数据分类、加密、访问控制和数据保留策略。
如果企业的其他部分对您的数据治理工作犹豫不决,您可以指出泄露成本并询问:“我们应该从您的预算中支付此费用吗?”
5. 更好的保险范围
网络泄露保险是每个网络安全计划的重要组成部分,但此类保险并不便宜。当您清楚地了解违规造成的潜在财务损失时,您可以更好地确定您需要多少保险,或者采取哪些措施来减少违规造成的损失,从而降低这些保险需求。
装备自己做出更好的业务决策
评估数据泄露成本的能力对于合规官员来说至关重要,因为这种知识是推动更好的网络安全功能的强大工具。了解违规成本可以帮助您更有效地分配资源,更熟练地满足监管要求,更灵活地管理供应商和员工(或者在必要时更有力),并更准确地设置优先级。
简而言之,了解漏洞的成本可以使网络安全计划中的其他所有内容更加明显。这可以帮助您做出更好的决定。
坏消息是评估违规成本并不容易。您需要跟踪或估计大量单独成本,并非所有成本都是显而易见的。因此,现在就花时间开发一个可靠的、经过测试的流程来估算违规成本,您可以在需求最终出现时激活该流程,因为这种情况迟早会出现。
